全部产品

创建 CORS 规则

更新时间:2020-04-21 11:33:58

跨域访问是指请求一个与自身资源不同源(不同的域名、协议或端口)的资源。不同源可以是不同的域名、协议或端口。

浏览器出于安全考虑设置了同源策略,限制了从脚本内发起跨域请求。但在实际应用中,经常会发生跨域访问。为此,W3C 提供了一个标准的跨域解决方案:跨域资源共享(Cross-Origin Resource Sharing,CORS),支持安全的跨域请求和数据传输。

操作步骤

  1. 进入 API 网关控制台页面,在左侧导航栏中选择 API 发布 > CORS 管理,进入 CORS 配置 页面。
  2. 点击 CORS 列表右上方的 创建 CORS
  3. 在弹出的 新建 CORS 窗口中,选择或输入相关信息:
    • CORS 名称:必填,输入 CORS 的名称用以识别 CORS 的作用。支持大小写英文字母、中文、数字、下划线(_)、中划线(-),32 个字符以内。
    • CORS 状态:必选,即创建后的 CORS 规则的状态,可选择 开启 关闭,默认为 关闭

      说明:若选择关闭,您可在创建后通过 CORS 规则右侧 操作 列中的 开启 按钮将指定的 CORS 规则开启。

    • 允许来源:必填,输入允许的来源域名。
      • 域名前需加 http://https://
      • 若想允许所有来源的域名,可输入星号(*)。
      • 您可点击输入框下方的 + 添加允许来源 来添加多个域名。
    • 允许方法:选填,输入 CORS 规则中允许的请求方法。可选 GETPOSTPUTDELETE,允许多选。
    • 允许标头:选填,输入允许跨域的所有请求头信息字段。
      • 允许标头中可使用 * 通配符。
      • 您可点击输入框下方的 + 添加允许标头 来添加多个允许标头。
    • 公开标头:选填,输入跨域访问允许查看的返回头信息字段。
      • 公开标头中 不允许 使用 * 通配符。
      • 您可点击输入框下方的 + 添加公开标头 来添加多个公开标头。
    • 有效期:选填,输入浏览器的最大缓存时间。
    • 允许凭证:表示是否允许发送 Cookie。
      • 默认情况下为 关闭,即不允许发送 Cookie。
      • 选择 开启,即表示服务器明确许可,Cookie 可以包含在请求中,一起发送给服务器。
        新建 CORS
  4. 点击 确定,即可完成 CORS 规则的创建。

注意事项

  • 通过 创建 CORS 按钮所创建的 CORS 规则的生效范围均为 API 级别
  • 在 CORS 规则列表中,有一条名为 当前环境级别 CORS 规则 的置顶规则,生效范围为 当前环境级别。该规则无法删除,默认状态为关闭。
    • 如果开启该环境级别规则,则对所有 API 生效。但如果单个 API 已额外绑定其他规则,则已绑定的规则优先生效。
    • 如果关闭该环境级别规则,则执行单个 API 额外绑定的规则。
      环境级别

后续操作

CORS 规则创建后,您可通过 绑定 API 功能将规则与 API 进行绑定。